El tipo de datos personales de los usuarios así como la forma en que fueron obtenidos recuerda al caso de Cambridge Analytica en Facebook

Eduardo Rivas

La compañía líder en comercio minorista por internet Amazon ha permitido que datos personales de sus usuarios caigan en manos de terceros. Estos datos incluyen nombres, direcciones postales, números de teléfono, productos que han pedido y las fechas en que se han pedido y fueron entregados no solo a una compañía sino a potencialmente miles de negocios que pudieran beneficiarse de esta información.

De acuerdo con una investigación realizada por el sitio Wired en colaboración con la organización de noticias Reveal en la que se detallan diversas complicaciones que la empresa ha tenido en materia de seguridad debido a sus esfuerzos por mantener la velocidad con la que tratan las expectativas al servicio de sus clientes, Amazon habría compartido una variedad de información de los clientes con los vendedores para que estos pudieran hacer sus propias investigaciones y procesamiento de datos y alcanzar a más clientes potenciales.

Una de las empresas beneficiadas de estos datos compartidos fue AMZReview que, de acuerdo a su página oficial, ofrece un equipo de personas que prueban los productos que las personas publican en Amazon para luego publicar una reseña “honesta y de alta calidad” con la intención de mejorar el posicionamiento de los productos; de acuerdo con la empresa, esto además está aprobado por las reglas de Amazon por lo que no viola ninguna regla.

La investigación por otra parte indica que el equipo de seguridad cibernética de Amazon detectó a AMZReview compartiendo con los vendedores información confidencial que la plataforma no ha compartido con los vendedores según sus políticas de entregar información para que hicieran sus propios análisis, el correo electrónico de las cuentas de los usuarios.

La razón por la que la plataforma no comparte esta información es para que los vendedores no puedan identificar a las personas que dejan comentarios negativos de sus productos debido a las preocupaciones de seguridad que esto supone así como la invasión a la privacidad.

También te puede interesar: Información de 7 millones de usuarios queda expuesta en extorsión a RobinHood 

¿Cómo lo hacían?

Según determinó el equipo de seguridad de Amazon e indicó la investigación “era una rama de una empresa china de análisis llamada TouchData. Aparentemente, la empresa obtuvo los correos electrónicos de los clientes de «otras fuentes abiertas y violadas» de datos en Internet. A partir de esto, tenía formas de relacionar las direcciones con las reseñas de Amazon, con un modesto porcentaje de éxito.” Según declaró AMZ, la compañía obtuvo, usando el acceso de vendedores minoristas a la información proporcionada por Amazon, información de 16 millones de personas a pesar de que el equipo de seguridad solo pudo confirmar 4.6 millones. Por su parte TouchData se ha deslindado de AMZReview y sus actividades.

Cabe resaltar que todas estas actividades sucedieron en 2018, el mísmo año que Facebook enfrentó una controversia pública por la filtración de datos de Cambridge Analytica, empresa que recopiló miles de datos a través de un test de personalidad con el que los usuarios otorgaron permisos sobre sus datos personales y de personas en sus listas de amigos sin saberlo. A diferencia de Facebook, las actividades de AMZ pasaron bajo el radar de la prensa y la opinión pública pues la compañía trató con el problema en privado.

La forma en la que resolvieron el problema fue en tres niveles, en primer lugar, Amazon limitó la cantidad de datos que otorgaba a los vendedores, además comenzaron a hacer auditorías a las empresas que utilizaban datos para asegurarse de que no abusaran de ellos en el futuro. Finalmente la única solución que encontraron para las grandes empresas que obtuvieron cantidades masivas de datos de los usuarios fue pedirles que eliminaran dichos datos.

A pesar de que fue más complejo que esto, ya que la compañía también recurrió a auditores externos que se aseguraran que las compañías realmente estuvieran eliminando todos los datos que poseían, un ex empleado de la compañía que no pidió mantenerse en el anonimato bajo el temor de recibir represalias declaró para Wired/Reveal “La mayor preocupación eran sólo las apariencias… ¿Si hubiera salido a la luz que eso estaba sucediendo? Toda esa mierda vergonzosa que pediste en Amazon, ¿Hay alguna empresa china que podría precisar la fecha en que lo compraste? Obviamente, no querrían que nadie lo supiera.”

También te puede interesar: Hackers iraníes acusados de robar información e intimidar votantes durante elecciones de 2020 en EE.UU. 

La punta del iceberg

Incluso con todo esto AMZ podría ser solo la punta del iceberg, mientras que concentraron la mayor cantidad de información en una sola empresa según la información disponible, miles de empresas y personas vendedoras de Amazon habían disfrutado de un nivel de acceso que la compañía calificó como “compartir en exceso”. Miles de millones de datos sobre las compras de las personas habían sido compartidos con poca o nula seguridad de que no iban a ser usados de forma incorrecta ni posibilidad de saber quién, cuándo, dónde o qué datos habían sido obtenidos.

Los cálculos del equipo de seguridad de Amazon sobre los desarrolladores que violaron los términos con los que la compañía compartía información confidencial indicaron que al menos la mitad de ellos incurrieron en prácticas cuestionables según un memo interno de la compañía revisado por los investigadores, un exempleado declaró “había un agujero enorme. En realidad estaba sin mitigar.”

También te puede interesar: Amazon dejará de aceptar pagos con Visa en Reino Unido por elevadas comisiones 

Las respuestas

Al respecto, la portavoz de Amazon, Jen Bemisderfer declaró para el equipo de Wired/Reveal “Tenemos políticas estrictas y condiciones contractuales que prohíben el uso indebido de los datos de los clientes por parte de los vendedores y proveedores de servicios, y supervisamos y auditamos continuamente nuestros sistemas para detectar el uso indebido y hacer cumplir nuestras políticas.” 

A su vez declaró que cuando se detecta abuso por parte de una persona o empresa se le excluye de estos beneficios y destacó la inversión que la compañía hace en auditores externos para mantener seguros los datos que comparten, pero no pudo ofrecer una respuesta sobre cuántos clientes fueron víctimas de empresas que hicieron mal uso de sus datos.

Este es solo uno de los problemas que Amazon ha tenido en relación a la seguridad de los datos tanto de las personas que usan la plataforma solo como medio de consumo como aquellas que han hecho de ella su trabajo y que, a pesar de que las señales han estado esparcidas en distintos aspectos a lo largo de los años y la verdadera magnitud de la situación apenas ha podido ser señalada por la investigación de Wired/Reveal.